한국CISO협의회 조찬 모임...글로벌 보안이슈와 클라우드 강연 이뤄져
십여 개 분야에서 ‘정보보안’이라는 공통분모로 활동하는 전문가들
[보안뉴스 문가용 기자] 50명 남짓한 CISO들이 아침부터 모였다. 플라자 호텔 4층의 한 공간에서 비슷한 색 양복을 입고, 미리 마련된 테이블에 균일하게 분포되어 있어서 잘 보이지 않지만, 법률, 유통, 보안, 보험, 대학, 마케팅, IT, 공공, 금융, 포탈, 게임의 11개 분야에서 각기 활동 중인 이들이다. 오늘 참석하지 못한 CISO들까지 합하면 분야의 수는 늘어난다. 뒷자리에 마련된 기자석에 앉아있자니, 산업 구석구석에까지 보안의 그물망이 펼쳐져 있는 모습이다.
IT의 자식이었던 정보보안은 점점 그 세를 넓혀가고 있다. 그리고 현대 산업의 공통분모로 자리를 잡아가고 있기도 하다. 제주특별자치도개발공사로 새롭게 퉁지를 틀게 된 오경수 사장은 조찬 인사말을 통해 “보안에 필요한 IT 기술은 기본이요, 자기가 속한 산업에 대한 이해와 소통 능력이 CISO에게 더 많이 요구되고 있다”며 “예순이 넘는 내가 새로운 곳으로 부름을 받은 것이 기술력 때문이겠느냐”고 되묻기도 했다. 민들레 씨앗처럼 이름 모를 땅에도 고르게 퍼져 뿌리를 내려야 하는 정보보안 전문가의 기본기는 융화력이라는 말이다.
1. RSA에 참석한 미래부의 전망
하지만 역시 정보보안이라는 분야에 대한 지식 자체는 필수. 미래부의 이재일 정보보호 CP는 지난 달 샌프란시스코에서 열린 RSA에서 제시된 최신 트렌드를 키워드로 종합해 발표했다. 그러나 그 중 핵심은 단연 ‘인공지능’이었다며, “세계의 보안 전문가들은 인공지능이 시장의 판도를 뒤집을 것으로 보고 있다”고 현장의 느낌을 전달했다. 이와 더불어 대두된 것이 ‘자동화와 오케스트레이션(orchestration)’인데, 이재일 CP는 “골든 타임을 놓치지 않으려는 노력의 일환”이라고 정리하기도 했다.
그러면서 “세계는 이미 사이버 공격을 막을 수 없다는 걸 전제하고 있다”며 “혼란(chaos)에 대한 준비가 필요하다는 키노트가 인상적이었다”고 설명하기도 했으며, 그 사이버 공격의 새로운 현상으로는 “피해자가 또 다른 무기가 되는 것”이 꼽혔다고 말했다. 피해자가 또 다른 사이버 공격의 무기로 변하는 가장 좋은 사례는 작년 말에 발견된 사물인터넷용 미라이(Mirai) 멀웨어 공격이며, “심지어 IoT를 Internet of Things(사물인터넷)가 아니라 Internet of Terror(테러인터넷)나 Internet of Threat(위협인터넷)으로 말하는 이들도 있더라”며 대혼란의 시대가 코앞에 있음을 암시하기도 했다.
2. 클라우드, 이제 안심해도 된다
미래에 대한 대비라는 주제를 논할 때 빠지지 않는 키워드라면 ‘클라우드’가 있다. 연단의 바통을 물려받은 시만텍의 윤광택 CTO는 클라우드의 현재 보안 상태에 대해 유창하게 설명하기 시작했다. “많은 이들이 클라우드를 써도 되느냐 마느냐의 문제에서 ‘보안’을 가장 큰 고민거리로 여기고 있다”는 윤 CTO는 “현재 클라우드 제공업체는 백엔드 보안을, 고객들은 프론트엔드 보안에 책임을 가지게 되는 게 보통”이라고 강의를 시작했다.
“즉, 데이터 자체의 안전은 고객사가 책임을 져야 하는 건데, 클라우드를 통해 편리하고 유연하게 데이터를 활용하다보면 보안 사고가 날 수밖에 없습니다. 또 은둔의 IT(Shadow IT)와 은둔의 데이터(Shadow Data) 문제도 아직 전통의 보안에서 해결되지 않고 있죠. 은둔의 IT/데이터란 보안 부서나 IT 부서 모르게 회사 내에서 사용되고 있는 애플리케이션과 중요 데이터를 말합니다. 즉 ‘보안 담당자’가 충분한 가시성과 통제권을 확보하지 못했다는 것이 클라우드 보안의 고질적인 문제였죠.”
반대로 이것만 해결되면 클라우드는 안전과 편리를 모두 거머쥔 플랫폼이 된다는 뜻이다. 윤광택 CTO는 “다행히 여러 해결책들이 등장하고 있다”며 “섀도우 IT 분석을 위해 감사가 도입되고 있으며, 게이트웨이를 통한 모니터링과 통제 방법도 도입되고, 클라우드 API를 통해서도 모니터링과 통제가 가능해지고 있다”고 설명했다. 클라우드 보안 아키텍처가 새롭게 구성되고 있다는 것이다. 클라우드 내의 데이터 가시성 확보와 통제를 위해서 CASB(Cloud Access Security Broker) 기술도 집중 조명을 받고 있다고 소개하기도 했다. 그러면서 “이제는 클라우드로 옮겨가는 결정을 해도 안전하다”고 결론을 내렸다.
3. 저 뒷모습 속에 보안이 재미있는 이유가 있다
기존 시장논리로는 잘 이해하기 힘든 석유 시장에서의 유가 문제를 다룬 신간 ‘크루드 볼라틸리티(Crude Volatility)’의 저자 로버트 맥날리(Robert McNally)는 원래 역사 선생이 되려고 경제와 지정학, 정치를 전공했던 인물이다. 학비를 벌려고 잠깐 석유 업체에서 파트타임 근무를 시작했던 것이 인생의 경로를 바꿨다. 그는 이 신간의 머리말에서 “여전히 역사 선생이 되고자 하는 꿈은 꾸고 있다”고 밝히긴 했지만 “석유 산업에 제일 먼저 들어와 깨닫게 된 것은 이 분야에 내가 관심을 두고 있던 경제, 지정학, 정치가 모두 있다는 것이었다”며 젊은 날 꾸었던 꿈이 사뭇 엉뚱해 보이는 곳에서 이뤄지고 있다고 술회한다.
다양한 산업에 포진해 있는, 보안 분야에서 가장 높다하는 CISO들의 뒷모습을 보며, 정보보안 분야가 재미있는 이유를 새삼 발견한 듯 했다. 석유 시장처럼 이 분야엔 IT 기술을 바탕으로 정치, 금융, 경제, 사회, 지정학, 국제관계가 다 어우러져 있다. 따지고 보면 그렇지 않은 분야가 어디 있겠는가, 라고 물을 수도 있겠지만, 정보보안은 이렇게나 다양한 곳의 ‘안전’을 꾀하는 곳이고 안전을 꾀한다는 건 은밀한 치부까지도 이해하고 있을 정도로 깊숙하게 관여한다는 것이다. 잡학 다식할 수 있는 의외의 분야, 그러면서도 깊이를 추구할 수 있는 엉뚱한 곳이 정보보안이다. 물론 기자가 잡학 다식한데다가 깊이까지 있다는 건 아니다.
[문가용 기자(globoan@boannews.com)]
십여 개 분야에서 ‘정보보안’이라는 공통분모로 활동하는 전문가들
[보안뉴스 문가용 기자] 50명 남짓한 CISO들이 아침부터 모였다. 플라자 호텔 4층의 한 공간에서 비슷한 색 양복을 입고, 미리 마련된 테이블에 균일하게 분포되어 있어서 잘 보이지 않지만, 법률, 유통, 보안, 보험, 대학, 마케팅, IT, 공공, 금융, 포탈, 게임의 11개 분야에서 각기 활동 중인 이들이다. 오늘 참석하지 못한 CISO들까지 합하면 분야의 수는 늘어난다. 뒷자리에 마련된 기자석에 앉아있자니, 산업 구석구석에까지 보안의 그물망이 펼쳐져 있는 모습이다.
IT의 자식이었던 정보보안은 점점 그 세를 넓혀가고 있다. 그리고 현대 산업의 공통분모로 자리를 잡아가고 있기도 하다. 제주특별자치도개발공사로 새롭게 퉁지를 틀게 된 오경수 사장은 조찬 인사말을 통해 “보안에 필요한 IT 기술은 기본이요, 자기가 속한 산업에 대한 이해와 소통 능력이 CISO에게 더 많이 요구되고 있다”며 “예순이 넘는 내가 새로운 곳으로 부름을 받은 것이 기술력 때문이겠느냐”고 되묻기도 했다. 민들레 씨앗처럼 이름 모를 땅에도 고르게 퍼져 뿌리를 내려야 하는 정보보안 전문가의 기본기는 융화력이라는 말이다.
1. RSA에 참석한 미래부의 전망
하지만 역시 정보보안이라는 분야에 대한 지식 자체는 필수. 미래부의 이재일 정보보호 CP는 지난 달 샌프란시스코에서 열린 RSA에서 제시된 최신 트렌드를 키워드로 종합해 발표했다. 그러나 그 중 핵심은 단연 ‘인공지능’이었다며, “세계의 보안 전문가들은 인공지능이 시장의 판도를 뒤집을 것으로 보고 있다”고 현장의 느낌을 전달했다. 이와 더불어 대두된 것이 ‘자동화와 오케스트레이션(orchestration)’인데, 이재일 CP는 “골든 타임을 놓치지 않으려는 노력의 일환”이라고 정리하기도 했다.
그러면서 “세계는 이미 사이버 공격을 막을 수 없다는 걸 전제하고 있다”며 “혼란(chaos)에 대한 준비가 필요하다는 키노트가 인상적이었다”고 설명하기도 했으며, 그 사이버 공격의 새로운 현상으로는 “피해자가 또 다른 무기가 되는 것”이 꼽혔다고 말했다. 피해자가 또 다른 사이버 공격의 무기로 변하는 가장 좋은 사례는 작년 말에 발견된 사물인터넷용 미라이(Mirai) 멀웨어 공격이며, “심지어 IoT를 Internet of Things(사물인터넷)가 아니라 Internet of Terror(테러인터넷)나 Internet of Threat(위협인터넷)으로 말하는 이들도 있더라”며 대혼란의 시대가 코앞에 있음을 암시하기도 했다.
2. 클라우드, 이제 안심해도 된다
미래에 대한 대비라는 주제를 논할 때 빠지지 않는 키워드라면 ‘클라우드’가 있다. 연단의 바통을 물려받은 시만텍의 윤광택 CTO는 클라우드의 현재 보안 상태에 대해 유창하게 설명하기 시작했다. “많은 이들이 클라우드를 써도 되느냐 마느냐의 문제에서 ‘보안’을 가장 큰 고민거리로 여기고 있다”는 윤 CTO는 “현재 클라우드 제공업체는 백엔드 보안을, 고객들은 프론트엔드 보안에 책임을 가지게 되는 게 보통”이라고 강의를 시작했다.
“즉, 데이터 자체의 안전은 고객사가 책임을 져야 하는 건데, 클라우드를 통해 편리하고 유연하게 데이터를 활용하다보면 보안 사고가 날 수밖에 없습니다. 또 은둔의 IT(Shadow IT)와 은둔의 데이터(Shadow Data) 문제도 아직 전통의 보안에서 해결되지 않고 있죠. 은둔의 IT/데이터란 보안 부서나 IT 부서 모르게 회사 내에서 사용되고 있는 애플리케이션과 중요 데이터를 말합니다. 즉 ‘보안 담당자’가 충분한 가시성과 통제권을 확보하지 못했다는 것이 클라우드 보안의 고질적인 문제였죠.”
반대로 이것만 해결되면 클라우드는 안전과 편리를 모두 거머쥔 플랫폼이 된다는 뜻이다. 윤광택 CTO는 “다행히 여러 해결책들이 등장하고 있다”며 “섀도우 IT 분석을 위해 감사가 도입되고 있으며, 게이트웨이를 통한 모니터링과 통제 방법도 도입되고, 클라우드 API를 통해서도 모니터링과 통제가 가능해지고 있다”고 설명했다. 클라우드 보안 아키텍처가 새롭게 구성되고 있다는 것이다. 클라우드 내의 데이터 가시성 확보와 통제를 위해서 CASB(Cloud Access Security Broker) 기술도 집중 조명을 받고 있다고 소개하기도 했다. 그러면서 “이제는 클라우드로 옮겨가는 결정을 해도 안전하다”고 결론을 내렸다.
3. 저 뒷모습 속에 보안이 재미있는 이유가 있다
기존 시장논리로는 잘 이해하기 힘든 석유 시장에서의 유가 문제를 다룬 신간 ‘크루드 볼라틸리티(Crude Volatility)’의 저자 로버트 맥날리(Robert McNally)는 원래 역사 선생이 되려고 경제와 지정학, 정치를 전공했던 인물이다. 학비를 벌려고 잠깐 석유 업체에서 파트타임 근무를 시작했던 것이 인생의 경로를 바꿨다. 그는 이 신간의 머리말에서 “여전히 역사 선생이 되고자 하는 꿈은 꾸고 있다”고 밝히긴 했지만 “석유 산업에 제일 먼저 들어와 깨닫게 된 것은 이 분야에 내가 관심을 두고 있던 경제, 지정학, 정치가 모두 있다는 것이었다”며 젊은 날 꾸었던 꿈이 사뭇 엉뚱해 보이는 곳에서 이뤄지고 있다고 술회한다.
다양한 산업에 포진해 있는, 보안 분야에서 가장 높다하는 CISO들의 뒷모습을 보며, 정보보안 분야가 재미있는 이유를 새삼 발견한 듯 했다. 석유 시장처럼 이 분야엔 IT 기술을 바탕으로 정치, 금융, 경제, 사회, 지정학, 국제관계가 다 어우러져 있다. 따지고 보면 그렇지 않은 분야가 어디 있겠는가, 라고 물을 수도 있겠지만, 정보보안은 이렇게나 다양한 곳의 ‘안전’을 꾀하는 곳이고 안전을 꾀한다는 건 은밀한 치부까지도 이해하고 있을 정도로 깊숙하게 관여한다는 것이다. 잡학 다식할 수 있는 의외의 분야, 그러면서도 깊이를 추구할 수 있는 엉뚱한 곳이 정보보안이다. 물론 기자가 잡학 다식한데다가 깊이까지 있다는 건 아니다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 THJ.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
